Архів за Липень, 2012

Уразливості в плагінах для MODx CMS, Joomla, Moodle та WordPress

23:52 28.07.2012

Раніше я вже писав про Content Spoofing та XSS уразливості в JW Player. І зазначав, що сайтів з вразливою флешкою біля мільйону - це лише проіндексованих Гуглом, а насправді їх ще більше. Аналогічні уразливості присутні в сотнях веб додатків. Зокрема в наступних п’яти плагінах для движків MODx CMS, Joomla, Moodle та WordPress, що використовують флешку JW Player.

В травні, 25.05.2012, я знайшов Content Spoofing та Cross-Site Scripting уразливості в плагінах JWPlayer для MODx, Simple video flash player для Joomla, Poodll для Moodle, RokBox для Joomla та RokBox для WordPress.

Content Spoofing та XSS уразливості аналогічні описаним у вищезгаданому записі. Лише в плагінах (старих версіях, що я бачив) Simple video flash player для Joomla та RokBox для Joomla і WP, в яких використовується JWPlayer 4.x, немає CS через плейліст і логотип та XSS через параметр playerready і через логотип.

Шляхи до флешки наступні:

JWPlayer for MODx plugin (extra):

http://site/embed/player.swf

Приклад однієї XSS уразливості.

XSS:

http://site/embed/player.swf?playerready=alert(document.cookie)

Simple video flash player for Joomla:

http://site/modules/mod_simple_video_flash_player/jwplayer.swf

Poodll for Moodle:

http://site/poodll/jwplayer59/jwplayer.swf

Приклад однієї XSS уразливості.

XSS:

http://site/poodll/jwplayer59/jwplayer.swf?playerready=alert(document.cookie)

RokBox for Joomla:

http://site/plugins/system/rokbox/jwplayer/jwplayer.swf

RokBox for WordPress:

http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf

Уразливі всі версії JWPlayer для MODx, всі версії Simple video flash player для Joomla, всі версії Poodll для Moodle, всі версії RokBox для Joomla та всі версії RokBox для WordPress.

Використання XML External Entities (XXE) для атак на інші сайти

22:49 28.07.2012

В статті Використання сайтів для атак на інші сайти два роки тому я розповів про можливість атак на інші сайти через Abuse of Functionality і Remote File Include уразливості, та навів приклади Abuse of Functionality дірок на різних сайтах (в тому числі сайтах Google, Yahoo і W3C). Окрім даних класів дірок, XXE уразливості також можуть використовуватися для атак на інші сайти.

В класифікації уразливостей WASC TC v2.0 є такий клас як XML External Entities (XXE) (WASC-43). Який ще називають XXE Injection.

Дані уразливості можуть використовуватися для читання вмісту локальних файлів - Local File Disclosure (тобто Directory Traversal). Але також дану уразливість можна використати для з’єднання з зовнішніми серверами. Тобто можна робити запити до інших веб сайтів і через дані уразливості можна проводити CSRF і DoS атаки на інші сайти.

Атака відбувається через тег ENTITY. Якщо вказати локальний файл - “file:///etc/passwd”, то відбудеться включення і витік змісту локального файлу. А якщо вказати зовнішній ресурс - “http://site/page”, то відбудеться запит до сторінки зовнішнього сайта. Що можна використати для атак на зовнішні сайти, аналогічно атакам описаним у вищезгаданій статті.

<?xml version="1.0"?>
<!DOCTYPE foo [
  <!ELEMENT methodName ANY>
  <!ENTITY xxe SYSTEM "http://site/page" >]>
<methodCall>
  <methodName>&xxe;</methodName>
</methodCall>

XXE Injection уразливості були виявлені в багатьох продуктах. Таких як Squiz CMS, Zend Framework, CakePHP та численні продукти Adobe (BlazeDS, Adobe LiveCycle Data Services ES2, Adobe ColdFusion, Adobe LiveCycle ES2). І враховуючи популярність Zend Framework, вони будуть знайдені ще в багатьох продуктах (як це було виявлено в CakePHP).

Для автоматизації атак на інші сайти можна використати такий інструмент як DAVOSET - DDoS attacks via other sites execution tool. Abuse of Functionality дірки передбачали відправлення як GET, так і POST запитів. DAVOSET був розроблений для GET запитів.

XXE Injection атака передбачає відправлення спеціального XML-запиту методом POST. Тому інструмент для проведення атак на інші сайти через XXE уразливості повинен підтримувати POST метод. Наприклад, його підтримка може бути додана в DAVOSET.

Похакані сайти №197

19:20 28.07.2012

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.khotynvlada.gov.ua (хакером shmook) - 29.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://dongfu.pp.ua (хакером AL.MaX HaCkEr) - 07.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://inorgchem.cv.ua (хакером AL.MaX HaCkEr) - 04.04.2012, зараз сайт вже виправлений адмінами
  • http://www.astrasv.com (хакером CiKkzZ)
  • http://ugv.com.ua (хакером Sniper_m@r) - 21.07.2012, зараз сайт вже виправлений адмінами

Липневий вівторок патчів від Microsoft

17:11 28.07.2012

У липні місяці Microsoft випустила 9 патчів. Що більше ніж у червні.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають 16 уразливостей в програмних продуктах компанії. З них 3 патчі закривають критичні уразливості, а 6 патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Internet Explorer, Microsoft Office, Office Web Apps 2010, Sharepoint та Groove Server 2010.

Уразливості в плагінах для WordPress №61

23:56 27.07.2012

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах editormonkey, Count Per Day та Front End Upload. Для котрих з’явилися експлоіти. editormonkey - це новий rich-редактор для WP, Count Per Day - це плагін для ведення статистики відвідувань, Front End Upload - це плагін для надання можливості завантажувати файли на сайт.

  • Wordpress (editormonkey) Arbitrary File Upload Vulnerability (деталі)
  • WordPress Plugin ‘Count Per Day’ 3.1.1 Multiple Cross-site scripting vulnerabilities (деталі)
  • WordPress Front End Upload 0.5.4.4 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Хостінги державних сайтів

22:49 27.07.2012

Досліджуючи взломані та інфіковані державні сайти, я звертаю увагу на їхні хостінги. Особливо це актуально, коли gov.ua сайти розміщуються на дірявих хостінгах і вони стають жертвами масових взломів. Наприклад, під часу масового дефейсу на сервері VinNest були взломані 3 державні сайти, а не сервері Візор - 12 gov.ua сайтів. Тобто чим більше державних сайтів на одному сервері, тим більше можуть бути взломані за один раз.

І я неодноразово зустрічав державні сайти, що розміщуються не на українських хостінгах, а за кордоном. Серед таких сайтів наступні:

  • kprda.gov.ua (Германія)
  • guonkh.gov.ua (США)
  • kolomakrda.gov.ua (США)
  • www.gorodok-vlada.gov.ua (Германія)
  • sts-rrada.gov.ua (Германія)
  • stakherson.gov.ua (Германія)
  • yalta-gs.gov.ua (США)

Це дані лише за 2011-2012 роки і лише за одним джерелом. Враховуючи, що взломи та інфікування я знаходжу за багатьма джерелами, то мені траплялося набагато більше державних сайтів на іноземних хостінгах.

Розміщення державних сайтів на серверах інших країн я вважаю серйозною проблемою. Особливо, якщо на цих ресурсах міститься будь-яка важлива, конфіденційна чи секретна інформація. Яка легко може бути отримана хостером або спецслужбами тієї країні, де розміщений сервер, не кажучи вже про хакерів (що можуть отримати цю інформацію через дірки на сайті чи сервері). Це як здача національних інтересів. Додам, що я не знаю жодної країни, де б державні сайти розміщувалися за кордоном - а в Україні таких сайтів багато. Що є несерйозним і це потрібно виправляти.

Вийшли PHP 5.3.15 та PHP 5.4.5

19:36 27.07.2012

У липні, 19.07.2012, вийшли PHP 5.3.15 та PHP 5.4.5. В яких виправлена одна уразливість, а також виправлено більше 30 багів. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.15 та PHP 5.4.5:

  • Виправлена buffer overflow уразливість в реалізації stream.

По матеріалам http://www.php.net.

Уразливості на stopthehacker.com

17:25 27.07.2012

08.03.2012

У лютому, 28.02.2012, я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://stopthehacker.com. Це секюріті сервіс що є конкурентом моій Web VDS. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.07.2012

AoF:

http://panel.stopthehacker.com/services/validate-payflow?target=http://site&email=1@1.com&callback=a

Можна проводити атаки на інші сайти. Про що я писав в своїй статті Використання сайтів для атак на інші сайти.

IAA:

Із-за відсутності захисту від автоматизованих запитів (капчі) в даному функціоналі, атаки на інші сайти можна автоматизувати. Наприклад, з використанням DAVOSET.

XSS:

http://panel.stopthehacker.com/services/validate-payflow?target=%3Cbody%20onload=alert(document.cookie)%3E&email=1@1.com&callback=a

Якщо XSS дірка вже виправлена, то Abuse of Functionality та Insufficient Anti-automation уразливості досі не виправлені.

Вийшли PHP 5.3.14 та PHP 5.4.4

22:46 26.07.2012

У червні, 14.06.2012, вийшли PHP 5.3.14 та PHP 5.4.4. В яких виправлені дві уразливості, а також виправлено більше 30 багів. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.14 та PHP 5.4.4:

  • Виправлена слабкість в реалізації DES функції crypt.
  • Виправлена heap overflow уразливість в розширені phar.

По матеріалам http://www.php.net.

Інфіковані сайти №128

20:17 26.07.2012

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://cube.lviv.ua - інфекція була виявлена 15.06.2012. Зараз сайт не входить до переліку підозрілих.
  • http://hc.donetsk.ua - інфекція була виявлена 15.06.2012. Зараз сайт не входить до переліку підозрілих.
  • http://warrior.in.ua - інфекція була виявлена 29.05.2012. Зараз сайт не входить до переліку підозрілих.
  • http://luxmebel.net.ua - інфекція була виявлена 05.07.2012. Зараз сайт не входить до переліку підозрілих.
  • http://luglawyer.ucoz.ua - інфекція була виявлена 16.07.2012. Зараз сайт не входить до переліку підозрілих.